Software

日本語対応フリーFTPソフトの草分けと言っていい、Windows用フリーソフト『FFFTP』に、マルウェア感染およびID・パスワード・ホスト先の情報を抜かれてしまう危険性があると、bananaさんのブログ「smilebanana」で指摘されています。

フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー［日本版］, 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア

さっそくTwitterでは「こわい！」「ショックだ…信じてたのに」「さっそくアンインストールした（キリッ」「乗り換えよう」というつぶやきが。LHは「WinSCP」「ALFTP」といっただいたいソフトを挙げているが、乗り換えれば安全かと言えばそんなことは全くない。

問題は3点。

1. 「FFFTP」 以外にもパスワードを保存するサービス・ソフトは無数にある

なかには「iniファイルに保存したから大丈夫！」という人もいたけど、原理的には保存する場所が変わっただけの話でたいした改善にはならない（それに対応した亜種が生まれれば終わり）。また、「FFFTP」を辞めたからと言って、標的がほかのソフトに移るだけの話なのでこれまた意味はない。

「FFFP」がパスワードをローカルへ保存する仕様を脆弱性とするならば、世にあるパスワード保存系のソフトはみんな脆弱性を持っている。なかには、パスワードを平文で保存しているものもあるぐらいだ。「FFFTP」はちゃんと暗号化して保存しているれけど、オープンソースなのでそのルーチンが公開されているからハックは容易なんだそうだ。

→ 極論すれば、ローカルにパスワードを保存すること自体がダメ。セキュリティと利便性は（基本的に）トレードオフの関係にあることをもう一度思い出す。徹底するなら、パスワードは毎回直打ち、加えてキーロガー対策機能のあるソフトウェアキーボードで入力すべき。

2. FTPプロトコル自体の脆弱性

FTPはID・パスワードを平文で送る。そもそも Gumblar は感染したPCから送られる FTP パスワードを盗聴・収集して FTPサーバーを乗っ取り、Webサイトを改ざんするモノなのだから、「FFFTP」とそれ以外のFTPクライアントを使うことにそれほど違うがあるとは思えない。FTPプロトコルは20年前、インターネットの古き良き時代に策定された古いプロトコルだということを思い出そう。

→ ID/Pass など通信内容を暗号化する SSL接続の利用を考えるべき。「WinSCP」に乗り換えてもFTPプロトコル使ってたら意味ないぞ！

3. そもそも Gumblar に感染したら終わり

Gumblar に感染すること、それはすなわちPCを好き放題されることに等しいと思った方がいい。

→ Gumblar に感染しない環境作りをしよう

• Windows Vista/7 を利用する（UAC機能、ASLR機能などを活用）: Windows XP なんぞという化石OSは捨てろ。8年前のOSでインターネット使うな。
• プラグインはアップデートしよう: とくに Adobe Flash/AIR/Acrobat は標的にされやすいので注意。MSに頭下げて、Windows Updateで流しちまえばいいのに。
• まともなウイルス対策ソフトを導入する: 何がまともかは難しいけれど…検知率が高くても誤検知多い某ソフトとか、ゆるすぎて入れない方がましな某ソフトもあるし。

—

個人的には「FFFTP」を使い続けても問題ないと思う。Gumblar に感染しなければ。最近アップデートがないことを不安視する人もいるが、それは枯れているからであって、別に他意はないと思う。実際、前回脆弱性が見つかった場合はちゃんとバージョンアップしてるし、今回も作者の反応が早い。（17:00現在お知らせが出されている）

「FFFTP」に機能をる付け加えるなら、SFTP/SSL接続対応とローカルに保存できないマスターパスワード（パスフレーズによる設定の暗号化）機能ぐらいだろうか…

「JumpJumpList」は、Windows 7の新機能“ジャンプリスト”を本当にジャンプさせるタスクトレイ常駐ソフト。Windows 7および同64bit版に対応するフリーソフトで、作者のWebサイトからダウンロードできる。

窓の杜 – 【REVIEW】Windows 7のジャンプリストを本当に“ジャンプ”させる「JumpJumpList」

各紙の評価 ―

「ジャンプリストの本質を問う問題作」（WP紙）
「文句なく今年最高の傑作（まだ1月だけど）」（NT紙）
「全米が違う意味で泣いた」（NW誌）

Windows 7使いなら、黙って、これ入れろ。

Webブラウザー「Sleipnir」の開発元として知られるフェンリル（株）は4日、“２ちゃんねる”を閲覧できるiPhone/iPod touch向けソフト「Mosa」を公開した。iPhone OS 3.0以降に対応するフリーソフトで、現在iPhone/iPod touch向けアプリケーションのオンラインストア“AppStore”からダウンロードできる。

窓の杜 – 【NEWS】フェンリル、iPhone/iPod touch向け“２ちゃんねる”ブラウザー「Mosa」を公開

Web上では批判的な見方が大勢をしめているようだけど、個人的にはとても気に入っている。元来、２ちゃんねらというのは廃人かつ歳食った頭の固い人間というのが定番。新しいソフトとなるとすぐに古いものと比較して難癖をつけるだけで、新しい使い方を提案しているとは気がつかないものだ。取り入れるべき意見は取り入れてほしいが、先行するクライアントソフト猿まねをしても仕方ない。フェンリルの中のヒトにおかれましては、この方針で機能的なブラッシュアップを果たされんことを。

とはいえ不満がないわけではない。

Continue reading

「Firefox 3.5」になってから、ロケーションツールバーを半透明化するクールな拡張機能「Glasser」が使えなくてしょぼーんだった。

そこで、Update XPI を使って強制インストールを試みることにした。

Continue reading

S.M.A.R.T.に対応したHDD/SSDの動作状況や健康状態をチェックできる「CrystalDiskInfo」の最新版v2.1.0が、10日に公開された。本バージョンの主な変更点は、HDDの回転数を取得可能になったこと。本機能は、PCとHDD間の接続方式を定めた規格“ATA”の最新版“ATA8-ACS”のコマンドを利用しており、本規格をサポートするHDDでのみ利用可能。

窓の杜 – 【NEWS】HDDの回転数を取得可能になった「CrystalDiskInfo」v2.1.0が公開

ATA/ATAPI の次世代規格で、SSDも視野に入れたものになるようだ。この「HDDの回転数の取得」というのも、"(回転数=0)=＝SSD"と"(回転数>0)==HDD"で両者の判別を可能にするためだとか。別に、CrystalDiskInfo のためではないらしい（ぉ

年内に発売とか何とか言っている Windows 7 はそこらへんの判別もできるようになっているとのことで、SSDの場合は出フラグしないとか（書き込み寿命が減るから）、まぁ、そんな類の最適化をやっているんだそうな。つまり、回転数取得って、HDDの情報表示ソフトが少しリッチになる以上の意味があったんだなぁー、ってことです。

ちなみに規格自体の詳細は、有料ライセンスを払って見せてもらうっぽい（違ったらごめん）。まぁ、そこまではできないので、ここの内容はすべて伝聞なんだけど。

P.S. このソフトはなぜか家のPCにも入っています。ひよひよさん、愛しています。

from Axialis Software – IconWorkshop™ Lite Download

 

Windows 7 の新しいタスクバー、結構使い勝手がよさそうですよね。でも、ソフトを作る側にしてみたらちょっと大変…。せっかく素敵なソフトを作っても、絵心がないとあの格好いいタスクバーにクソダサいアイコンが並ぶことになるのデスよ？そんなのいやーんというサンデープログラマー向けのよさげなアイコンエディターをご紹介。

Continue reading

今日は年明けはじめての出社日です。

なのに、新年の挨拶をしっかり忘れていました。わざわざ上司さまが椅子を立って新年の挨拶をしてくださったので、僕も内心「あちゃー」と思いつつも「今年もよろしくお願いします」とご挨拶。自分から挨拶出来なかったのは負けだが、ちゃんと挨拶できたこと自体はなんだか嬉しい。そうだ、新しい年なんだな、って感じ。

そういえば、会社の行きしなにお弁当を買ったのだが、そのときも店のおばちゃんが挨拶してくれたっけ。そのときも言われて初めて「あー」と思いつつ「いえいえ、今年もお世話になります」とご挨拶。すると、おばちゃんが上目遣いで、「お味噌汁おまけしておくね」と時価50円相当のお味噌汁をそっとお弁当の袋にしのばせてくれた。そのせいか、その日のお弁当はちょっといつもよりおいしかったのさ。今から思えば、時間的、雰囲気的に僕がこの年一番乗りの客だったのかも、とか思うと、そうだ、新しい年だったんだな、って感じ。

Continue reading

今日ちょっと触ってたんだけど、テキストエディターってすごいのな。今日日、テキストを編集できるだけじゃないのな。まさか、EmEditor で Visual Studio のプロジェクトがビルドできるとは思わんかったよ…（ソリューションファイルは書き換え禁止モードで開くので、プロジェクトツリー自体はいじれない模様。ソースの微修正に使うとよさげ。）

僕は、Professional版を購入して公私ともども愛用しているけれど、正直言って全機能を使いきってはいない。仕事用にちょっとマクロを組むぐらいだ（Javascript が使えるのでそんなに難しくはない）。けれど、ちょっと探すだけでよさげなプラグイン・マクロがごろごろ見つかる。んー…、もっと使いこなせれば、まだまだ便利になりそうだ。

Emacs や Vim はともかく、EmEditor ぐらいは使いこなせるようになりたいとも思いますです。

まぁ、なんでもフリーで済ますというのもありだけど、EmEditor は買って損がないと僕は思いますですよ。

—

窓の杜 – 【NEWS】248GBを超える巨大なバイナリファイルも扱える「EmEditor」v8.0の正式版が公開 <http://www.forest.impress.co.jp/article/2008/11/20/emeditor80.html>

Firefox の拡張機能。仕事では数え切れないぐらい使ってる（使いこなしてはいないｗ）けど、家で使うのはそんなに多くない。基本的にカスタマイズが面倒な人なので。それでも、13個も入れてた。これは、Firefoxの柔軟性を称えるべきか、基礎機能の貧弱さを呪うべきか。いまは、Chrome と Firefox を 3:7 でつかってる感じ。拡張入れると便利だけど、やっぱり遅くなるしなぁー…Chrome の速さは捨てがたい。

Continue reading

（株）ジャストシステムは30日、スクリプト言語で「ATOK 2008 for Windows」を拡張できる開発キット「ATOKダイレクト API for Perl / Ruby」を無償公開した。「ATOK 2008」から新たに搭載されたプラグイン機能“ATOKダイレクト”に準拠したプラグインを、スクリプト言語で簡単に作成できるようになる。

via 窓の杜 – 【NEWS】ジャストシステム、スクリプト言語で「ATOK 2008」を拡張できる開発キット

これはイイ！

Continue reading